使用 AD/LDAP 身份验证搜索 OpenVPN 服务器的多 OU 用户

使用 AD/LDAP 身份验证搜索 OpenVPN 服务器的多 OU 用户

我有一个针对单个 AD 域进行身份验证的 OpenVPN 服务器。

这是我的身份验证-ldap.conf与 OpenVPN 一起使用

    <LDAP>
            URL             ldap://ad1.test.company:389,ldap://ad2.test.company:389
            BindDN          "CN=openvpnauth,CN=Users,DC=test,DC=company"
            Password        "A!thP123w00rd"
            Timeout         15
            TLSEnable       no
            FollowReferrals yes
    </LDAP>

    <Authorization>
            BaseDN          "DC=test,DC=company"
            SearchFilter    "(sAMAccountName=%u)"
            RequireGroup    true
                    <Group>
                            BaseDN  "CN=Users,DC=test,DC=company"
                            SearchFilter "(cn=VPN Users)"
                            MemberAttribute "member"
                    </Group>

因此,上述内容根据 AD 验证用户身份并按设计运行。

"CN=Users,DC=test,DC=company"它在(默认的 '/Users' OU)内搜索用户组“VPN Users”

如果用户设置了适当的组VPN Users,则允许用户加入!

我想要将用户添加到另一个单独的 OU,例如: Team1/桌面用户/标准用户可能是我的新 OU,其中包含用户。我希望允许该 OU 中的用户以及原始 OU 中的用户。

这会像<Group>在配置中添加另一个对象一样简单吗?

答案1

这有效:

<Group>
   BaseDN  "DC=test,DC=company"
   SearchFilter "(cn=VPN Users)"
   MemberAttribute "member"
</Group>

答案2

您可以将基本 DN 更改为域根,例如 dc=domian,dc-com,这将涵盖域中的所有 OU,并且可能需要更多时间来搜索用户/组

最好使用相应的 OU 或父 OU 进行有效搜索

答案3

要在配置中添加更多组,只需输入:

SearchFilter "(|(cn=VPN Users)(cn=other group))"

相关内容